おたくま経済新聞

北朝鮮関連の攻撃者は生成AIにより攻撃を加速させ、320社以上の企業に侵入。脅威アクターはAIエージェントを悪用し、このことは自律型システムが次なる企業攻撃の標的となる可能性を示唆

※この資料は米国にて2025年8月4日に発表されたプレスリリースの抄訳です。

クラウドストライク（NASDAQ：CRWD）は本日、2025年版脅威ハンティングレポートを発表しました。本レポートでは、現代のサイバー攻撃が新たな段階に突入していることが強調されています。つまり、攻撃者は生成AIを武器としてその活動範囲を広げ、攻撃を加速させるとともに、企業活動を再構築しつつある自律型AIエージェントを標的とする傾向が強まっています。本レポートでは、脅威アクターが、AIエージェントを構築するために使用されているツールを標的にして、アクセス権を獲得し、認証情報を窃取して、マルウェアを展開している様子が明らかになっています。これは、自律的なシステムやマシンのアイデンティティが企業の攻撃対象領域の中心的な位置を占めるようになっていることを明確に示すものです。

クラウドストライク脅威ハンティングレポートのハイライト
命名された265を超える攻撃者を追跡する、クラウドストライクの卓越した脅威ハンターおよびインテリジェンスアナリストから得た最前線のインテリジェンスに基づくこのレポートでは、以下が明らかとなりました。
- 攻撃者は広範囲にわたりAIを武器として活用：北朝鮮関連の攻撃者FAMOUS CHOLLIMAは、生成AIを使用してインサイダー攻撃プログラムのあらゆる段階を自動化しています。AIを活用した攻撃者の手口は、偽の履歴書の作成、ディープフェイクによる面接の実施、偽名による技術的業務の遂行に至るまで、従来のインサイダー脅威から、スケーラブルで持続的な活動へとその形を大きく変えています。ロシア関連の攻撃者EMBER BEARは生成AIを利用して親ロシア的な言説を拡散し、イラン関連の攻撃者CHARMING KITTENは、大規模言語モデル (LLM) によって作成されたフィッシング誘導文を用いて米国やEUの企業を標的としています。
- エージェント型AIが新たな攻撃対象領域に：クラウドストライクでは、AIエージェントを構築するために使用されているツールの脆弱性を悪用して、不正にアクセス権を獲得し、持続的な足場を築き、認証情報を収集して、マルウェアやランサムウェアを展開している複数の脅威アクターを確認しています。このような攻撃は、エージェント型AIの進化により、企業の攻撃対象領域が形を変えつつあることを示しています。自律的なワークフローや非人間アイデンティティが、攻撃者が標的とする次のフロンティアとなっているのです。
- 生成AIが作成したマルウェアが現実の脅威に：低レベルのサイバー犯罪者やハクティビストはAIを悪用してスクリプトを生成し、技術的な問題を解決して、マルウェアを作成しています。これまで高度な専門知識を要していた作業も、AIにより自動化が可能になりました。FunklockerやSparkCatは、生成AIにより作成されたマルウェアが、単なる理論上の可能性ではなく、すでに実運用されていることを示す初期段階の証拠です。
- SCATTERED SPIDERがアイデンティティを悪用したクロスドメイン攻撃を加速：2025年に活動を再開したこのグループは、より迅速かつ攻撃的な手法を展開しています。具体的には、ビッシングやヘルプデスクのなりすましを用いて認証情報をリセットし、多要素認証をバイパスして、SaaSおよびクラウド環境間をラテラルムーブメントしています。同グループは、あるインシデントにおいて、初期アクセスからランサムウェアの展開による暗号化までを24時間以内で遂行しています。
- 中国関連の攻撃者による継続的なクラウド攻撃の急増：クラウドの侵入件数が136%増加しており、増加した活動のうち40%は中国関連の攻撃者が占めています。GENESIS PANDAやMURKY PANDAはクラウドの設定ミスや信頼されているアクセス権を通して検知を回避しています。


クラウドストライクでCounter Adversary Operationsの責任者を務めるアダム・マイヤーズ（Adam Meyers）は次のように述べています。
「AI時代は、企業の運営方法と攻撃者の攻撃手法の両方を大きく変えました。脅威アクターは生成AIを利用して、広範囲にわたりソーシャルエンジニアリングを行い、活動を加速させ、ハンズオンキーボード攻撃への参加障壁を引き下げています。同時に、攻撃者は、企業が導入しているAIシステムそのものを標的にしています。AIエージェントはすべて、超人的なアイデンティティを持ち、自律的かつ高速に動作し、システムに緊密に統合されているため、極めて価値の高い標的となります。攻撃者はこれらのエージェントをインフラストラクチャと同様に扱い、SaaSプラットフォーム、クラウドコンソール、特権アカウントを標的にする場合と同じ手法で攻撃を仕掛けています。このように、ビジネスの基盤となるAIの保護こそが、現在のサイバー戦の新たな焦点となっているのです」

追加のリソース：
- 2025年版クラウドストライク脅威ハンティングレポートをダウンロードしてください。
- 攻撃者についてのインターネット上で最も信頼できるソース、クラウドストライクのサイバー攻撃者の世界をご覧ください。
- 脅威アクターおよび推奨事項についてのインサイトをお届けする「サイバー攻撃者の世界」ポッドキャストをお聞きになり、セキュリティのプラクティスの拡大にお役立てください。
- 2025年版クラウドストライク脅威ハンティングレポートの詳細については、ブログをお読みいただくか、サイトをご覧ください。



CrowdStrikeについて
CrowdStrike（NASDAQ：CRWD）は、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、データを含む企業リスクを考えるうえで重要な領域を保護する世界最先端のクラウドネイティブのプラットフォームにより、現代のセキュリティを再定義しています。

CrowdStrike Falcon(R)プラットフォームは、CrowdStrike Security Cloudおよび最先端のAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、企業全体からの充実したテレメトリを活用して、超高精度の検知、自動化された保護と修復、精鋭による脅威ハンティング、優先付けられた脆弱性の可観測性を提供します。

Falconプラットフォームは、軽量なシングルエージェント・アーキテクチャを備え、クラウド上に構築されており、迅速かつスケーラブルな展開、優れた保護とパフォーマンスを提供し、複雑さを低減し即座に価値を実現します。

CrowdStrike: We stop breaches.

詳細はこちら：https://www.crowdstrike.com/ja-jp/
フォローしてください：ブログ | X | LinkedIn | Facebook | Instagram
今すぐ無料トライアルを開始する：https://www.crowdstrike.com/ja-jp/free-trial-guide/

(C) 2025 CrowdStrike, Inc. 無断複製および転載を禁じます。CrowdStrikeおよびCrowdStrike FalconはCrowdStrike, Inc.が所有する標章であり、米国および各国の特許商標局に登録されています。クラウドストライクは、その他の商標とサービスマークを所有し、第三者の製品やサービスを識別する目的で各社のブランド名を使用する場合があります。